适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

XenMobile NetScaler Connector 现已更名为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。有关 Citrix 统一产品组合的更多详细信息,请参阅 Citrix 产品指南

适用于 Exchange ActiveSync 的连接器向 NetScaler 提供 ActiveSync 客户端的设备级别授权服务,而 NetScaler 用作 Exchange ActiveSync 协议的反向代理。授权由在 XenMobile 中定义的策略组合以及适用于 Exchange ActiveSync 的 Citrix Gateway 连接器本地定义的规则控制。

有关详细信息,请参阅 ActiveSync Gateway

有关详细的参考体系结构图,请参阅体系结构

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的当前版本为版本 8.5.2。

新增功能

以下各节列出了当前版本和早期版本的适用于 Exchange ActiveSync 的 Citrix Gateway 连接器(以前称为 XenMobile NetScaler Connector)的新增功能。

版本 8.5.2 中的新增功能

  • XenMobile NetScaler Connector 现已更名为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。

此版本中修复了以下问题:

  • 如果在定义策略规则时使用多个条件,并且其中一个条件涉及到用户 ID,可能会出现以下问题:如果用户有多个别名,应用该规则时不会检查这些别名。[CXM-55355]

注意:

以下“新增功能”部分在提到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器时使用其以前的名称 XenMobile NetScaler Connector。名称自版本 8.5.2 起更改。

版本 8.5.1.11 中的新增功能

  • 系统要求变更: NetScaler Connector 的当前版本需要使用 Microsoft.NET Framework 4.5。

  • Google Analytics 支持: 我们希望了解您使用 XenMobile NetScaler Connector 的方式,以便我们可以专注于可以改进产品的方面。

  • 支持 TLS 1.1 和 1.2: 由于其日渐削弱的安全性,PCI 委员会正在弃用 TLS 1.0。对 TLS 1.1 和 1.2 的支持已添加到 XenMobile NetScaler Connector 中。

监视适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序提供详细的日志记录,可用于查看 Secure Mobile Gateway 允许或阻止的通过 Exchange Server 的所有流量。

使用日志选项卡可查看由 NetScaler 转发到适用于 Exchange ActiveSync 的连接器以进行授权的 ActiveSync 请求的历史记录。

此外,为确保适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 Web 服务运行,还可将以下 URL 加载到连接器服务器上的浏览器中:https://<host:port>/services/ActiveSync/Version。如果 URL 以字符串形式返回产品版本,则 Web 服务为可响应。

使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器模拟 ActiveSync 流量

可以使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器模拟启用了您的策略时 ActiveSync 流量的具体表现。在连接器配置实用程序中,选择 Simulator(模拟器)选项卡。结果将根据您已配置的规则显示策略的应用方式。

为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器选择过滤器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器过滤器的工作方式是针对给定策略违规情况或属性设置分析设备。如果设备满足条件,则将设备放入设备列表中。此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。XenMobile 中的连接器可使用下列过滤器。每个过滤器均有两个选项:允许拒绝

  • 匿名设备: 允许或拒绝在 XenMobile 中已注册但用户的身份未知的设备。例如,可以是以前注册的用户,但用户的 Active Directory 密码已过期,或者是用未知凭据注册的用户。
  • Samsung KNOX 认证失败: Samsung 设备具有安全和诊断相关功能。此过滤器用于确认已为设备设置 KNOX。有关详细信息,请参阅 Samsung KNOX
  • 禁止的应用程序:基于由黑名单策略定义的设备列表以及是否存在加入黑名单的应用程序来允许或拒绝设备。
  • 隐式允许/拒绝: 创建不满足其他任何过滤器规则条件的所有设备的设备列表,并根据该列表允许或拒绝。“隐式允许/拒绝”选项可确保“设备”选项卡中的适用于 Exchange ActiveSync 的 Citrix Gateway 连接器状态为已启用,并显示您设备的连接器状态。“隐式允许/拒绝”选项还可以控制所有其他尚未被选定的连接器过滤器。例如,加入黑名单的应用程序将被连接器拒绝(阻止),但允许所有其他过滤器,因为“隐式允许/拒绝”选项设为允许
  • 不活动设备: 创建在指定时间段内与 XenMobile 没有通信的设备的设备列表。这些设备被视为不活动设备。因此,过滤器会允许或拒绝这些设备。
  • 缺少所需的应用程序: 用户注册时,将收到必须安装的所需应用程序的列表。“缺少所需的应用程序”过滤器指示一个或多个应用程序不再存在;例如,用户删除了一个或多个应用程序。
  • 非推荐应用程序: 用户注册时,将收到应安装的应用程序列表。“非推荐应用程序”过滤器会在设备中检查不在该列表中的应用程序。
  • 不合规密码: 创建设备上没有通行码的所有设备的设备列表。
  • 不合规设备: 允许您拒绝或允许满足自己内部 IT 合规条件的设备。合规是由名为“不合规”的设备属性定义的任意设置,它是一个可以为的布尔标志。(可以手动创建此属性并设定值,或者也可在设备满足或不满足特定条件时,使用自动操作在设备上创建此属性。)
    • 不合规 = 真。如果设备不满足您 IT 部门设定的合规标准和策略定义,则该设备不合规。
    • 不合规 = 假。如果设备满足您 IT 部门设定的合规标准和策略定义,则该设备合规。
  • 吊销状态: 创建所有已吊销设备的设备列表,并根据吊销状态允许或拒绝。
  • 已获得 Root 权限的 Android 设备/已越狱的 iOS 设备。创建包括所有标记为获得 root 权限的设备的设备列表,并根据获得 root 权限的状态允许或拒绝。
  • 未托管设备。创建包括 XenMobile 数据库中所有设备的设备列表。需要在阻止模式下部署移动应用程序网关。

配置与适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的连接

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器通过安全 Web 服务与 XenMobile 和其他远程配置提供程序进行通信。

  1. 在连接器配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. Config Providers(配置提供程序)对话框中的 Name(名称)中,输入具有管理权限并用于 XenMobile Server 的基本 HTTP 授权的用户名。
  3. URL 中,输入 XenMobile GCS 的 Web 地址,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. Password(密码)中,输入将用于 XenMobile Server 的基本 HTTP 授权的密码。
  5. Managing Host(管理主机)中,输入连接器服务器名称。
  6. Baseline Interval(基准时间间隔)中,指定从 Device Manager 提取新刷新的动态规则集的时间间隔。
  7. Delta interval(时间间隔差)中,指定提取动态规则更新的时间间隔。
  8. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  9. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  10. Events Enabled(事件已启用)中,如果希望连接器在设备被阻止时通知 XenMobile,则启用此选项。如果要在任何 XenMobile 自动化操作中使用连接器规则,则需要使用此选项。
  11. 依次单击 Save(保存)和 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员联系。
  12. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。

添加新的配置提供程序时,适用于 Exchange ActiveSync 的 Citrix Gateway 连接器会自动创建一个或多个与该提供程序关联的策略。这些策略由模板定义进行定义,模板定义包含在 NewPolicyTemplate 部分的 config\policyTemplates.xml 中。会为在本节中定义的每个策略元素创建一个新策略。

如果满足以下条件,操作员可以添加、删除或修改策略元素:策略元素符合架构定义,并且不修改标准替换字符串(用括号括起)。接下来,为提供程序添加新组并更新策略以将新组包括在内。

从 XenMobile 中导入策略

  1. 在适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. Config Providers(配置提供程序)对话框中的 Name(名称)中,输入将用于 XenMobile Server 的基本 HTTP 授权以及具有管理权限的用户名。
  3. URL 中,输入 XenMobile Gateway Configuration Service (GCS) 的 Web 地址,格式通常为 https://<xdmHost>/xdm/services/<MagConfigService>。MagConfigService 名称区分大小写。
  4. Password(密码)中,输入用于 XenMobile Server 的基本 HTTP 授权的密码。
  5. 单击 Test Connectivity(测试连接),测试网关到配置提供程序的连接。如果连接失败,请检查本地防火墙设置是否允许连接,或与管理员核查。
  6. 连接成功后,取消选中 Disabled(禁用)复选框,然后单击 Save(保存)。
  7. Managing Host(管理主机)中,保留本地主机计算机的默认 DNS 名称。在多个 Forefront Threat Management Gateway (TMG) 服务器配置在一个阵列中时,此设置用于协调与 XenMobile 的通信。

    保存设置后,打开 GCS。

配置适用于 Exchange ActiveSync 的 Citrix Gateway 连接器策略模式

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器可以在以下 6 种模式下运行:

  • Allow All(全部允许)。此策略模式授权对通过连接器的所有流量进行访问。不使用其他过滤规则。
  • Deny All(全部拒绝)。此策略模式阻止对通过连接器的所有流量进行访问。不使用其他过滤规则。
  • Static Rules: Block Mode(静态规则: 阻止模式)。此策略模式执行在结尾具有隐式拒绝或阻止语句的静态规则。连接器会阻止其他过滤规则不允许使用的设备。
  • Static Rules: Permit Mode(静态规则: 许可模式)。此策略模式执行在结尾具有隐式许可或允许语句的静态规则。允许未被阻止的设备或被其他过滤规则拒绝的设备通过连接器。
  • Static + ZDM Rules: Block Mode(静态 + ZDM 规则: 阻止模式)。此策略模式首先执行静态规则,然后执行来自 XenMobile 的、在结尾具有隐式拒绝或阻止语句的动态规则。将根据已定义的过滤器和 Device Manager 规则允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被阻止。
  • Static + ZDM Rules: Permit Mode(静态 + ZDM 规则: 许可模式)。此策略模式首先执行静态规则,然后执行来自 XenMobile 的、在结尾具有隐式许可或允许语句的动态规则。将根据已定义的过滤器和 XenMobile 规则允许或拒绝设备。与定义的过滤器和规则不匹配的任何设备都会被允许。

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器进程根据从 XenMobile 收到的基于 iOS 和 Windows 的移动设备的唯一 ActiveSync ID 允许或阻止动态规则。Android 设备的特性由于制造商不同而有所不同,且有些设备没有准备好公开唯一的 ActiveSync ID。为进行补偿,XenMobile 会发送 Android 设备的用户 ID 信息,以便做出允许或阻止决定。因此,如果用户只有一个 Android 设备,则其允许和阻止功能正常。如果用户具有多个 Android 设备,则所有设备都被允许,因为无法区别 Android 设备。可以将网关配置为通过 ActiveSyncID(如果已知)静态阻止这些设备。还可以将网关配置为根据设备类型或用户代理进行阻止。

要指定策略模式,请在 SMG Controller 配置实用程序中执行以下操作:

  1. 单击 Path Filters(路径过滤器)选项卡,然后单击 Add(添加)。
  2. Path Properties(路径属性)对话框中,从 Policy(策略)列表中选择策略模式,然后单击 Save(保存)。

可以在配置实用程序的 Policies(策略)选项卡中查看这些规则。这些规则将在适用于 Exchange ActiveSync 的 Citrix Gateway 连接器上自上而下处理。“Allow”(允许)策略显示时带有绿色选中标记。“Deny”(拒绝)策略显示为红色圆圈,中间横穿一条直线。要刷新屏幕并查看最新更新的规则,请单击 Refresh(刷新)。也可在 config.xml 文件中修改规则的顺序。

要测试规则,请单击 Simulator(模拟器)选项卡。在字段中指定值。这些值也可从日志中获得。将出现指定“允许”或“阻止”的结果消息。

配置静态规则

请输入具有 ActiveSync 连接 HTTP 请求的 ISAPI 过滤功能读取的值的静态规则。静态规则支持适用于 Exchange ActiveSync 的 Citrix Gateway 连接器根据下列准则允许或阻止流量:

  • User。适用于 Exchange ActiveSync 的 Citrix Gateway 连接器使用在设备注册时捕获的授权用户值和名称结构。其常见形式是“域\用户名”,由运行 XenMobile 的服务器引用,该服务器通过 LDAP 连接到 Active Directory。连接器配置实用程序中的 Log(日志)选项卡将显示通过连接器传递的值。如果需要确定值结构或者值结构不同,则将传递这些值。
  • Deviceid (ActiveSyncID)。也称为所连接设备的 ActiveSyncID。此值通常可在 XenMobile 控制台的特定设备属性页面中找到。此值也可从连接器配置实用程序的“Log”(日志)选项卡中筛选出来。
  • DeviceType。连接器可确定设备是 iPhone、iPad 还是其他设备类型,并能根据准则加以允许或阻止。与其他值一样,连接器配置实用程序可显示为 ActiveSync 连接处理的所有已连接设备的类型。
  • UserAgent。包含有关所使用的 ActiveSync 客户端的信息。在大多数情况下,指定的值对应于移动设备平台的特定操作系统内部版本和版本。

在服务器上运行的连接器配置实用程序始终管理静态规则。

  1. 在 SMG Controller 配置实用程序中,单击 Static Rules(静态规则)选项卡,然后单击 Add(添加)。
  2. Static Rule Properties(静态规则属性)对话框中,指定要用作条件的值。例如,可通过输入用户名(例如 AllowedUser)然后取消选中 Disabled(禁用)复选框,输入允许访问的用户。
  3. 单击保存

    静态规则现在即生效。此外,还可使用正则表达式来定义值,但必须在 config.xml 文件中启用规则处理模式。

配置动态规则

XenMobile 中的设备策略和属性定义动态规则,并且可以触发动态适用于 Exchange ActiveSync 的 Citrix Gateway 连接器过滤器。触发器建立在是否存在策略冲突或属性设置的基础之上。连接器过滤器的工作方式是针对给定策略违规情况或属性设置分析设备。如果设备满足条件,则将设备放入设备列表中。此设备列表既不是允许列表也不是阻止列表。它是满足定义条件的设备的列表。以下配置选项可用于定义是否要使用连接器允许或拒绝“设备列表”中的设备。

注意:

必须使用 XenMobile 控制台配置动态规则。

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击 ActiveSync Gateway。此时将显示 ActiveSync Gateway 页面。

  3. 激活以下规则中,选择要激活的一个或多个规则。

  4. 在“仅限 Android”下,在将 Android 域用户发送到 ActiveSync Gateway 中单击,以确保 XenMobile 将 Android 设备信息发送到 Secure Mobile Gateway。

    启用了此选项时,如果 XenMobile 不具有 Android 设备用户的 ActiveSync 标识符,XenMobile 会将 Android 设备信息发送到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。

通过编辑适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的 XML 文件来配置自定义策略

可以在适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序的策略选项卡上查看默认配置中的基本策略。如果要创建自定义策略,可编辑连接器的 XML 配置文件 (config\config.xml)。

  1. 在文件中找到 PolicyList 部分,然后添加新的 Policy 元素。
  2. 如果还需要新组,例如另一个静态组或支持另一个 GCP 的组,请将新 Group 元素添加到 GroupList 部分。
  3. 也可以通过重新排列 GroupRef 元素,更改现有策略中组的顺序。

配置适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的 XML 文件

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器使用 XML 配置文件表示连接器的各项操作。此外,此文件还指定组文件和过滤器在评估 HTTP 请求时采取的关联操作。默认情况下,此文件命名为 config.xml 且位于以下位置:..\Program Files\Citrix\XenMobile NetScaler Connector\config。

GroupRef 节点

GroupRef 节点定义逻辑组名称。默认值为 AllowGroup 和 DenyGroup。

注意:

GroupRef 节点在 GroupRefList 节点中出现的顺序非常重要。

GroupRef 节点的 ID 值标识逻辑容器或用于匹配特定用户帐户或设备的成员集合。操作属性指定过滤器处理与集合中的规则匹配的成员的方式。例如,与 AllowGroup 集中的规则匹配的用户帐户或设备将为“pass”。pass 表示允许其访问 Exchange CAS。与 DenyGroup 集中的规则匹配的用户帐户或设备为“rejected”。rejected 表示不允许其访问 Exchange CAS。

特定的用户帐户/设备或组合满足两个组中的规则时,会使用优先级约定来引导请求的结果。优先级通过 GroupRef 节点在 config.xml 文件中的自上而下的顺序体现。GroupRef 节点以优先级顺序排序。“允许”组中针对给定条件的规则将始终优先于“拒绝”组中针对相同条件的规则。

组节点

此外,config.xml 还定义组节点。这些节点将逻辑容器 AllowGroup 和 DenyGroup 链接到外部 XML 文件。存储在外部文件中的条目构成过滤器规则的基础。

注意:

在此版本中,仅支持外部 XML 文件。

默认安装会在配置中实施两个 XML 文件:allow.xml 和 deny.xml。

配置适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

可以将适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置为基于以下属性,选择性地阻止或允许 ActiveSync 请求:Active Sync 服务 ID设备类型用户代理(设备操作系统)、授权用户ActiveSync 命令

默认配置支持静态和动态组的组合。通过使用 SMG Controller 配置实用程序维护静态组。静态组可由已知类别的设备组成,如使用给定用户代理的所有设备。

名为网关配置提供程序的外部源负责维护动态组。适用于 Exchange ActiveSync 的 Citrix Gateway 连接器会定期连接这些组。XenMobile 可将允许和阻止设备与用户的组导出到连接器。

动态组由称为“网关配置提供程序”的外部源维护,并由适用于 Exchange ActiveSync 的 Citrix Gateway 连接器定期收集。XenMobile 可将允许和阻止设备与用户的组导出到连接器。

策略是组的有序列表,其中每个组都有关联的操作(允许或阻止)和组成员列表。一个策略可以有任何数量的组。策略内组的排序很重要,因为找到匹配项时就会执行组的操作,不会评估后续的组。

成员定义匹配请求中属性的方式。可以匹配单个属性,如设备 ID,或多个属性,如设备类型和用户代理。

为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器选择安全模型

建立安全模型对于为任何规模的组织成功部署移动设备都至关重要。默认情况下,通常使用受保护或被隔离的网络控制来允许访问用户、计算机或设备。这种做法并非始终属于理想做法。对于确保移动设备的安全性,每个管理 IT 安全的组织的做法会略有不同,或者采用定制的方法。

相同的逻辑适用于移动设备安全性。由于移动设备和类型、每个用户的移动设备以及操作系统平台和应用程序的数量都非常大,因此,使用宽容模型属于较差的选择。在大多数组织中,受限模式将是最合乎逻辑的选择。

Citrix 允许适用于 Exchange ActiveSync 的 Citrix Gateway 连接器与 XenMobile 集成的配置方案如下所示:

宽容模型(许可模式)

宽容安全模型的运行前提是,默认情况下允许或授权任何设备进行访问。只有通过规则和过滤,某些设备才将被阻止并应用限制。宽容安全模型非常适合对移动设备的安全要求相对宽松的组织。该模型仅应用限制性控制来在适当的位置拒绝访问(策略规则失败时)。

限制性模型(阻止模式)

受限安全模型的运行前提是,默认情况下不允许或授权任何设备进行访问。通过安全检查点的任何访问都要进行过滤和检查,并且拒绝访问,除非允许访问的规则获得通过。受限安全模型适合对移动设备具有相对严格的安全标准的组织。该模式仅在所有允许访问的规则都通过时,才授权访问网络服务的使用和功能。

管理适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

可以使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器构建访问控制规则。这些规则允许或阻止访问来自托管设备的 ActiveSync 连接请求。访问基于设备状态、应用程序黑名单或白名单以及其他合规条件。

通过使用适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序,可构建强制实施公司电子邮件策略的动态和静态规则,从而阻止违反合规性标准的用户。也可设置电子邮件附件加密,使通过您的 Exchange Server 到达托管设备的所有附件都被加密,且只有获得授权的用户才能在托管设备上查看。

卸载适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

  1. 使用管理员帐户运行 XncInstaller.exe。
  2. 按照屏幕说明完成卸载。

安装、升级或卸载适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

  1. 使用管理员帐户运行 XncInstaller.exe 以安装连接器,或者升级或删除现有连接器。
  2. 按照屏幕说明完成安装、升级或卸载。

安装连接器后,必须手动重新启动 XenMobile 配置服务和通知服务。

安装适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

可以将适用于 Exchange ActiveSync 的 Citrix Gateway 连接器安装在其自己的服务器上,或与 XenMobile 安装在相同的服务器上。

可出于以下原因考虑将适用于 Exchange ActiveSync 的 Citrix Gateway 连接器安装在其自己的服务器上(与 XenMobile 分开):

  • XenMobile 服务器在云端被远程托管(物理位置)。
  • 如果您不希望连接器受 XenMobile Server 的重新启动影响(可用性)。
  • 如果您希望服务器的系统资源完全专用于连接器(性能)。

连接器在服务器上放置的 CPU 负载取决于托管的设备数量。一般而言,如果连接器与 XenMobile 部署在相同的服务器上,则会再预配一个 CPU 核心。对于大量设备(超过 50000 个),如果没有群集环境,可能需要预配更多核心。连接器的内存占用量不足,无法保证更多内存。

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的系统要求

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器通过 NetScaler 设备上配置的 SSL 桥接与 NetScaler 进行通信。该桥接允许设备将所有安全流量直接桥接到 XenMobile。连接器要求的最低系统配置如下:

组件 要求
计算机和处理器 733 MHz Pentium III 733 MHz 或更高版本的处理器。2.0 GHz Pentium III 或更高版本的处理器(建议)
NetScaler NetScaler 设备,软件版本 10
内存 1 GB
硬盘 具有 150 MB 可用硬盘空间的 NTFS 格式本地分区
操作系统 Microsoft Windows Server 2008 R2、Microsoft Windows Server 2008 SP2、Microsoft Windows Server 2012 R2
其他设备 与主机操作系统兼容的网络适配器(用于与内部网络通信)
Microsoft .NET Framework 版本 8.5.1.11 需要使用 Microsoft.NET Framework 4.5。
显示 VGA 或更高分辨率的显示器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的主机计算机要求的最小可用硬盘空间如下:

  • 应用程序: 10 -15 MB(建议 100 MB)
  • 日志记录: 1 GB(建议 20 GB)

有关支持适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的平台的信息,请参阅支持的设备操作系统

设备电子邮件客户端

并非所有电子邮件客户端都一致地为设备返回相同的 ActiveSync ID。由于适用于 Exchange ActiveSync 的 Citrix Gateway 连接器要求每个设备具有唯一的 ActiveSync ID,因此,仅支持为每个设备一致地生成相同的唯一 ActiveSync ID 的电子邮件客户端。Citrix 已测试这些电子邮件客户端,并且这些客户端在执行时没有错误:

  • HTC 本机电子邮件客户端
  • Samsung 本机电子邮件客户端
  • iOS 本机电子邮件客户端
  • TouchDown

部署适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器使您可以使用 NetScaler 来代理并平衡 XenMobile Server 与 XenMobile 托管设备之间的通信负载。连接器定期与 XenMobile 通信以同步策略。连接器和 XenMobile 可以共同或单独组成群集,并且可以通过 NetScaler 平衡负载。

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器组件

  • 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器服务:此服务提供一个 REST Web 服务界面,NetScaler 可以调用该界面以确定来自设备的 ActiveSync 请求是否获得授权。
  • XenMobile 配置服务:此服务与 XenMobile 进行通信,以将 XenMobile 策略更改与连接器同步。
  • XenMobile 通知服务: 此服务将未经授权的设备访问通知发送到 XenMobile。这样,XenMobile 可以采取恰当的措施,例如通知用户设备被阻止的原因。
  • 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序:此应用程序允许管理员配置并监视连接器。

设置适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的侦听地址

要使适用于 Exchange ActiveSync 的 Citrix Gateway 连接器接收来自 NetScaler 的授权传输 ActiveSync 流量的请求,请执行以下操作。指定连接器在其上侦听 NetScaler Web 服务调用的端口。

  1. 开始菜单中,选择适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序。
  2. 单击 Web Service(Web 服务)选项卡,然后键入连接器 Web 服务的侦听地址。可以选择 HTTPHTTPS,或者同时选择两者。如果连接器与 XenMobile 的位置相同(安装在同一服务器上),请选择与 XenMobile 不冲突的端口值。
  3. 配置值后,单击 Save(保存),然后单击 Start Service(启动服务),启动 Web 服务。

在适用于 Exchange ActiveSync 的 Citrix Gateway 连接器中配置设备访问控制策略

要配置将应用于托管设备的访问控制策略,请执行以下操作:

  1. 在适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序中,单击 Path Filters(路径过滤器)选项卡。
  2. 选择第一行 Microsoft-Server-ActiveSync is for ActiveSync(Microsoft-Server-ActiveSync 适用于 ActiveSync),然后单击 Edit(编辑)。
  3. Policy(策略)列表中,选择所需策略。对于包含 XenMobile 策略的策略,请选择 Static + ZDM: Permit Mode(静态 + ZDM: 许可模式)或 Static + ZDM: Block Mode(静态 + ZDM: 阻止模式)。这些策略将本地(或静态)规则与 XenMobile 的规则组合在一起。Permit Mode(许可模式)表示允许未被规则明确识别的所有设备访问 ActiveSync。Block Mode(阻止模式)表示阻止此类设备。
  4. 设置策略后,单击 Save(保存)。

配置与 XenMobile 的通信

指定要与适用于 Exchange ActiveSync 的 Citrix Gateway 连接器和 NetScaler 结合使用的 XenMobile Server(又称为配置提供程序)的名称和属性。

注意: 此任务假定您已安装并配置 XenMobile。

  1. 在适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置实用程序中,单击 Config Providers(配置提供程序)选项卡,然后单击 Add(添加)。
  2. 输入您在此部署中使用的 XenMobile Server 的名称和 URL。如果您在多租户部署中部署了多个 XenMobile Server,则对每个服务器实例而言,此名称必须唯一。例如,可以在 Name(名称)中键入 XMS
  3. URL 中,输入 XenMobile 全局配置提供程序 (GCP) 的 Web 地址,格式通常为 https://<FQDN>/<instanceName>/services/<MagConfigService>MagConfigService 名称区分大小写。
  4. Password(密码)中,输入将用于 XenMobile Web 服务器的基本 HTTP 授权的密码。
  5. Managing Host(管理主机)中,输入安装了适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的服务器名称。
  6. Baseline Interval(基准时间间隔)中,指定从 XenMobile 提取新刷新的动态规则集的时间间隔。
  7. Request Timeout(请求超时)中,指定服务器请求超时的时间间隔。
  8. Config Provider(配置提供程序)中,选择配置提供程序服务器实例是否提供策略配置。
  9. Events Enabled(事件已启用)中,如果希望在设备被阻止时 Secure Mobile Gateway 通知 XenMobile,则启用此选项。如果在任何 Device Manager 自动操作中都使用了 Secure Mobile Gateway 规则,则此选项是必需的。
  10. 配置服务器后,单击 Test Connectivity(测试连接),测试与 XenMobile 的连接。
  11. 建立连接后,单击 Save(保存)。

为适用于 Exchange ActiveSync 的 Citrix Gateway 连接器部署冗余和可扩展性

如果要扩展适用于 Exchange ActiveSync 的 Citrix Gateway 连接器和 XenMobile 部署,可在多个 Windows Server 上安装连接器实例,全都指向同一 XenMobile 实例,然后可使用 NetScaler 来平衡服务器的负载。

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器配置有两种模式:

  • 在非共享模式下,每个适用于 Exchange ActiveSync 的 Citrix Gateway 连接器实例都与一个 XenMobile Server 进行通信,并且保存所产生策略的自己的私有副本。例如,如果您有一群 XenMobile Server,则可在每个 XenMobile Server 上运行连接器实例,然后连接器将从本地 XenMobile 实例获取策略。
  • 在共享模式中,将一个连接器节点指定为主节点,它与 XenMobile 进行通信。产生的配置通过 Windows 网络共享或 Windows(或第三方)复制功能在其他节点中共享。

整个连接器配置在一个文件夹中(由多个 XML 文件组成)。连接器进程将检测对此文件夹中的任何文件所做的更改,并自动重新加载配置。共享模式中的主节点没有故障转移功能。但系统可容许主服务器关闭几分钟(例如,重新启动),因为上次已知的正确配置缓存在连接器进程中。